第3章网络防御技术

1

华东理工大学计算机科学与工程系

第 3 章网络防御技术

指导教师 : 杨建国

2013年 8月 10日

2


3.1 安全架构3.2 密码技术3.3 防火墙技术3.4 杀毒技术3.5 入侵检测技术3.6 身份认证技术3.7 VPN技术3.8 反侦查技术3.9 蜜罐技术

第 3 章网络防御技术 3.10 可信计算

3.11 访问控制机制3.12 计算机取证3.13 数据备份与恢复3.14 服务器安全防御3.15 内网安全管理3.16 PKI网络安全协议3.17 信息安全评估3.18 网络安全方案设计

3


3.10 可信计算

4


可信计算技术研究

国家信息化专家咨询委员会委员

沈昌祥院士

5


内容

一、可信计算

二、 TCG 的动态

三、国内的进展

四、目前存在的一些问题

6


一、可信计算

7


产生安全事故的技术原因： PC 机软、硬件结构简化，导致资源可任意

使用，尤其是执行代码可修改，恶意程序可以被植入

病毒程序利用 PC 操作系统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码程序，实现病毒传播

黑客利用被攻击系统的漏洞窃取超级用户权限，植入攻击程序，肆意进行破坏

更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成不安全事故

8


为了解决计算机和网络结构上的不安全，从根本上提高其安全性，必须从芯片、硬件结构和操作系统等方面综合采取措施，由此产生出可信计算的基本思想，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。

9


可信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果”。强调行为的结果可预测和可控制。

10


可信计算指一个可信的组件，操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗不良代码和一定的物理干扰造成的破坏。

可信计算是安全的基础，从可信根出发，解决 PC 机结构所引起的安全问题。

11


具有以下功能：确保用户唯一身份、权限、工作空间的完整性

/ 可用性确保存储、处理、传输的机密性 / 完整性确保硬件环境配置、操作系统内核、服务及应

用程序的完整性确保密钥操作和存储的安全确保系统具有免疫能力，从根本上阻止病毒和

黑客等软件的攻击

12


可信计算平台特性：

定义了 TPM TPM = Trusted Platform Module 可信平

台模块；定义了访问者与 TPM 交互机制

通过协议和消息机制来使用 TPM 的功能；限定了 TPM 与计算平台之间的关系

必须绑定在固定计算平台上，不能移走； TPM 应包含

密码算法引擎受保护的存储区域

13


可信计算终端基于可信赖平台模块（ TPM）, 以密码技术为支持、安全操作系统为核心（如图所示）

安全应用组件

安全操作系统安全操作系统内核

密码模块协议栈

主板

可信 BIOS

TPM( 密码模块芯片 )

图：可信计算平台

14


可信平台基本功能：

可信平台需要提供三个基本功能：数据保护身份证明完整性测量、存储与报告

15


数据保护：

数据保护是通过建立平台屏蔽保护区域，实现敏感数据的访问授权，从而控制外部实体对这些敏感数据的访问。

16


身份证明：

TCG 的身份证明包括三个层次：1） TPM 可信性证明是 TPM 对其已知的数据提供证据的过程。这个过程通过使用 AIK 对 TPM 内部的明确数据进行数字签名来实现。

2）平台身份证明是指提供证据证明平台是可以被信任的，即

被证明的平台的完整性测量过程是可信的。3）平台可信状态证明是提供一组可证明有效的平台完整性测量数据的过程。这个过程通过使用 TPM 中的AIK 对一组 PCR 进行数字签名实现。

17


完整性的测量、存储与报告

1）完整性测量完整性测量的过程是：对影响平台完整性（

可信度）的平台部件进行测量，获得测量值，并将测量值的信息摘要记入 PCR 。

测量的开始点称为可信测量根。静态的可信测量根开始于对机器的起始状态进行的测量，如上电自检状态。动态的可信测量根是以一个不被信任的状态变为可信状态的测量作为起始点。

18


2）完整性存储完整性存储包括了存储完整性测量值的日志和

在 PCR 中存储这些测量值的信息摘要。3）完整性报告完整性报告用于证实完整性存储的内容。

完整性测量、存储和报告的基本原理是：一个平台可能会被允许进入任何状态，但是平台不能对其是否进入或退出了这种状态进行隐瞒和修改。一个独立的进程可以对完整性的状态进行评估并据此作出正确的响应。

19


可信任链传递与可信任环境

20


TCG 定义了 7种密钥类型。每种类型都附加了一些约束条件以限制其应用。 TCG 的密钥可以粗略的分类为签名密钥和存储密钥。更进一步的分类有：平台、身份认证、绑定、普通和继承密钥。对称密钥被单独分类为验证密钥。

7种密钥类型如下：1）签名密钥 (Signing Key) ：非对称密钥，

用于对应用数据和信息签名。2）存储密钥 (SK-Storage Key) ：非对称密

钥，用于对数据或其他密钥进行加密。存储根密钥 (SRK-Storage Root Key) 是存储密钥的一个特例。

3）平台身份认证密钥 (AIK-Attestation Identity Key) ：专用于对 TPM 产生的数据（如 TPM 功能、 PCR寄存器的值等）进行签名的不可迁移的密钥。

21


4）签署密钥 (EK-Endorsement Key) ：平台的不可迁移的解密密钥。在确立平台所有者时，用于解密所有者的授权数据和与产生 AIK相关的数据。签署密钥从不用作数据加密和签名。

5）绑定密钥 (Binding Key) ：用于加密小规模数据（如对称密钥），这些数据将在另一个TPM 平台上进行解密。

6）继承密钥：在 TPM外部生成，在用于签名和加密的时候输入到 TPM 中，继承密钥是可以迁移的。

7）验证密钥：用于保护引用 TPM 完成的传输会话的对称密钥。

22


TCG 定义了五类证书，每类都被用于为特定操作提供必要的信息。

证书的种类包括：1）签署证书 (Endorsement Credential)2）符合性证书 (Conformance

Credential)3）平台证书 (Platform Credential)4）认证证书 (Validation Credential)5）身份认证证书 (Identity or AIK

Credential)

23


二、 TCG 的动态

24


2000年 12月美国卡内基梅隆大学与美国国家宇航总署（NASA）的艾姆斯（Ames）研究中心牵头，联合大公司成立 TCPA 。

2003年 3月改组为 TCG(Trusted Computing Group) ，目前国际上（包括中国）已有 200多家 IT 行业著名公司加入了 TCG

2003年 10月发布了 TPM主规范（ v1.2）

具有 TPM 功能的 PC 机已经上市（ IBM 、 HP等）

25


本地应用

服务提供者（ TSP）

远程应用

服务提供者（ TSP）

RPC 客户

RPC 服务

TSS 核心服务层（ TCS）

设备驱动库（ TDDL）

TPM设备驱动

可信平台模块（ TPM）

可信平台体系结构

核心模式

系统进程模式

用户进程模式

应用程序

26


TCG 规范族 TCG主规范系列：

包括主规范、 TPM规范。平台设计规范系列：

个人电脑（ PC Platform ）、个人数字助理（ PDA Platform ）、无线移动通讯设备（ cellular Platform ）等作为可信计算平台的设计规范。

TCG 软件栈规范系列：主要规定了可信计算平台从固件到应用程序的完整

的软件栈 .

27


TCG 规范族

TCG主规范： TCG main Spec v1.1 可信计算平台的普适性规范，支持多平台： PC /

PDA TCG PC规范： TCG PC Spec v1.1

可信计算平台的 PC规范 TPM Main Spec v1.2 系列

可信计算平台的信任根可信计算模块规范 TSS （ TCG Software Stack） v1.1

操作系统上的可信软件接口规范，

28


已发布的 Windows Vista版本全面实现可信计算功能，运用 TPM 和 USBKEY 实现密码存储保密、身份认证和完整性验证。

实现了版本不能被篡改、防病毒和黑客攻击等功能。

29


三、国内的进展

30


我国在可信计算技术研究方面起步较早，技术水平不低。在安全芯片、可信安全主机、安全操作系统、可信计算平台应用等方面都先后开展了大量的研究工作，并取得了可喜的成果

31


早在九十年代，我国就开发了 PC 机安全防护系统，实现了可信防护，其结构、功能与TCP类同。

2000年，瑞达公司开始可信安全计算机的研发工作， 2004年，武汉瑞达信息安全产业股份有限公司推出自主知识产权的可信计算机产品，并通过国密局主持的鉴定，鉴定意见明确为“国内第一款可信安全计算平台”。

从 2004年开始，瑞达公司可信计算产品结合国家涉密部门、省级党政机关、国家安全部门、公安部门、电子政务系统和电信、电力、金融等国家等领域的业务需求开展应用研究，目前已展开了省级党政机要系统的应用试点工作。

32


联想公司和中科院计算所也较早的开展了安全芯片和安全计算机的研究工作。联想公司安全芯片的研发工作 2003年在国密办立项， 2005年 4月完成了安全芯片的研制工作，其安全主机产品计划在 2005年内推出。其安全芯片和可信 PC 平台已通过国密局主持的鉴定。

兆日公司是我国较早开展 TPM 芯片研究工作的企业。 2005年 4月，兆日科技推出符合可信计算联盟（ TCG）技术标准的 TPM 安全芯片，并已经开展了与长城、同方等多家主流品牌电脑厂商的合作。其安全芯片已通过国密局主持的鉴定。

33


应用集成的企事业单位纷纷提出可信应用框架，如天融信公司的可信网络框架、卫士通公司的终端可信控制系统、鼎普公司的可信存储系统等。

34


四、目前存在的一些问题

35


1 、理论研究相对滞后无论是国外还是国内，在可信计算领域都处于

技术超前于理论，理论滞后于技术的状况。可信计算的理论研究落后于技术开发。至今，尚没有公认的可信计算理论模型。

可信测量是可信计算的基础。但是目前尚缺少软件的动态可信性的度量理论与方法。

信任链技术是可信计算平台的一项关键技术。然而信任链的理论，特别是信任在传递过程中的损失度量尚需要深入研究，把信任链建立在坚实的理论基础之上。

36


2 、一些关键技术尚待攻克目前，无论是国外还是国内的可信计算机都没

能完全实现 TCG 的 PC 技术规范。如，动态可信度量、存储、报告机制，安全 I/O 等。

37


3 、缺少操作系统、网络、数据库和应用的可信机制配套

目前 TCG 给出了可信计算硬件平台的相关技术规范和可信网络连接的技术规范，但还没有关于可信操作系统、可信数据库、可信应用软件的技术规范。网络连接只是网络活动的第一步，连网的主要目的是数据交换和资源公享，这方面尚缺少可信技术规范。我们知道，只有硬件平台的可信，没有操作系统、网络、数据库和应用的可信，整个系统还是不安全的。

38


4 、可信计算的应用需要开拓可信计算的应用是可信计算发展的根本目的。

目前可信 PC 机、 TPM 芯片都已经得到实际应用，但应用的规模和覆盖范围都还不够，有待大力拓展

以网格安全为例

39


网格安全应该涵盖的内容认证授权单点登录使能 VO（虚拟组织）的安全

资源之间建立信任关系屏蔽异构的安全机制资源的可控共享共享资源之间的协同

保障联合计算的安全

40


可信计算保障网格安全身份认证、可信度量与验证、保密存储安全密钥存储

TPM 是存放密钥的理想场所使用 TPM之间的证书迁移技术替代代理证书链

在 TPM 中实现一个模块，审计 GridMap文件的使用情况，保证其完整性

保护虚拟组织的安全使用分布式可信链接，使得虚拟组织成为一个信任域

41


第 15 讲可信计算

张凯博士教授计算机科学技术系电话： 62380002邮件：[email protected]

42


一、可信计算的事故二、可信计算的重要概念三、可信计算的发展历程四、国外可信计算的研究进展五、我国的可信计算背景材料

43


一、可信计算的事故　　我们先来举出几个事例说明可信计算技术在传媒界受到的挑战。这些例子当然也是对整个可信计算技术的，但与传媒界特别有关系。　　 1． 1994年，英特尔公司刚刚推出奔腾处理器。一位加拿大的教授发现，奔腾芯片浮点运算有出错的情况。不过，出错概率很小，约在 90亿次除法运算中可能出现 1次错误。英特尔为此损失了 5亿美元。微处理器现在是到处都用，在传媒界就更不用说了。　　 2． 1996年 6月 4日，欧洲阿丽亚娜 5型火箭在首次发射中，由于软件数据转换错误导致火箭发射 40秒后爆炸，经济损失 25亿美元。

44


　　 4． 2002年９月，覆盖中国全国的鑫诺卫星多次遭到非法电视信号攻击，一再以非法信号持续攻击正常的卫星通信。这也提出了如何从技术上保证传媒可信性的问题。　　 5． 2003年 5月，由于飞船的导航软件设计错误，俄罗斯“联盟 -TMA1”载人飞船返回途中偏离了降落目标地点约460公里；　　 6． 2003年 8月 14日，在美国电力系统中，由于分布系统软件运行失效，造成了美国东北部大面积停电，损失超过60亿美元；　　 7.　 2005年 7月，北京部分地区出现上网中断问题，很多 ADSL 以及宽带用户断网超过 30分钟。通信线路中断故障不时出现。美国 1990年一次电话网故障引起整个东部地区电话不通。　　 8. 2004年 9月 14日，由于空管软件中的缺陷，美国洛杉矶机场 400余架飞机与机场一度失去联系，给几万名旅客的生命安全造成严重威胁；

45


　　 9.2005年 11月 1日，日本东京证券交易所由于软件升级出现系统故障，导致股市停摆；　　 10.2006年 4月 20日，中国银联跨行交易系统出现故障，整个系统瘫痪约 8小时；　　 11.2006年 6月初我国某验证飞机因软件缺陷坠毁；　　 12.2006年，中航信离港系统发生了三次软件系统故障，造成近百个机场登机系统瘫痪；　　 13.据 2007年 3月 5日美国《国防新闻》网站报道， 2月 11日， 12架“猛禽”战机 (见图 1) 从夏威夷飞往日本，在穿越国际日期变更线时出现了软件问题，飞机失去了所有的导航和通讯资料，飞机只能借助目视导航以及基本的无线电通讯手段才得以返航。当时，飞机上的全球定位系统纷纷失灵，多个电脑系统发生崩溃，多次重启均告失败。飞行员们无法正确辨识战机的位置、飞行高度和速度，随时面临着“折戟沉沙”的厄运。最后，他们不得不掉头返航，折回到夏威夷的希卡姆空军基地。

46


　　另据美联社 2月 28日报道，在飞往日本的 F-22A 中，有多架飞机的导航及飞行控制软件系统出现问题，导致飞行数据运算差错以及飞行指令误报。据美国空军官员透露，至少有 3架战机的飞行员通过触摸式显示屏，发现座机导航系统提供的目标信息不大对劲，特别是在飞越东太平洋马绍尔群岛上空时，导航系统显示的时间与地理方位坐标都出现大量错误信息，明明是白天“ AM” 时间，显示屏上却报出晚间“ PM” 时间，幸亏飞行员始终与地面指挥中心保持实时沟通，没有造成大的差错。另外， F-22A战机的飞行控制系统也不稳定，有飞行员反映在跨洋飞行过程中，飞控系统显示的飞机高度值与实际高度有较大差距。这是一个可怕的问题，因为飞行员所能看到的空间几乎都是海天一色，没有任何坐标参照物，一旦飞机控制系统自身报错数据，飞行员很容易误判，导致机毁人亡。

47


　　随后，事故分析原因得出的结论是：“战机在飞越国际日期变更线时，机载软件故障导致卫星失灵。”尽管 48小时内生产商交付了补丁程序，但件事引发的思考是深沉的。这种造价 3.3亿美元、“第四代”最先进战机，按理说不应该出这样的问题，因为它有软件代码170万条，设计和测试绝对严格，可问题偏偏出现了，而且是一起因微小设计缺陷导致的严重质量事故。

48


　　现在网络受到攻击的事件层出不穷，不胜枚举。电视信号偶然中断或不清晰，用户也常有感知。据美国卡内基梅隆大学统计，在互联网上， 2001年出现 52 ， 655次入侵事件，而 2002年前三季度已达 73 ， 359次，可见增长速度之快。　　所有这些问题技术上无非是由于硬设备故障、线路故障、软件故障或人为故障。可信计算技术就是要在有故障的情况下，仍然让系统能正常工作，或者有紧急预案，自动处理。

49


　　 14. 2008年 1月 24日，法国兴业银行在一份公开电子邮件声明中自揭家丑：该行旗下巴黎的一名交易员盖维耶尔（ Jerome Kerviel）秘密建立了欧洲股指期货相关头寸，此举超出了其职务允许范围，造成兴业银行 49亿欧元损失。检察机构指控他“滥用信用”、“伪造及使用虚假文书”以及“侵入数据信息系统”。法兰西银行行长克里斯蒂安 ·努瓦耶说，盖维耶尔是“计算机天才”，他居然通过了银行“ 5道安全关”获得使用巨额资金的权限。兴业银行的内控监管机制和信息系统出现了严重的漏洞。。　据报道，自 10年前巴林银行事件以来，各家银行都安装了黑匣子，任何款项的操作都有详细记录，所有金融动作都在其严密监控下。然而，为了防止特殊情况发生，一般的银行都有一个后台操作系统，一些数据在后台是可以改动的。这是银行信息系统的漏洞和缺陷。

图 1 法国兴业银行的危机与交易员盖维耶尔

50


二、可信计算的重要概念　　“可信计算”一词，现在用得相当普遍。因为从字面上看是很诱人的。但含义有差别。有人叫TrustedComputing ， Trustworthy Computing ，也有人叫Dependable Computing 。公司在他的某一批产品中，加入了某些提高系统可靠性、可用性和安全性的措施，他可以说“我这是一个可信的产品”。但是，学术界把可信计算（Dependable Computing）定义为“系统提供可信赖的计算服务的能力，而这种可信赖性是可以验证的”。这就是说，你必须用某种方法来验证你的系统是可信赖的。这就困难了。我们知道，法律对于人有所谓“无罪认定原则”，就是说，除非有证据证明某人有罪，否则他就是无罪的。而对于可信系统，我们执行的是“有错认定原则”。那就是说，用户可以对系统设计者和制造者说，除非你有足够的证据证明你的系统是可信的，否则我就认为你的系统是不可信的。

51


1. 可信性　　可信性 (dependability) 用来定义计算机系统的这样一种性质，即能使用户有理由认为系统所提供的各种服务确实是可以充分信赖的。因此可信性不仅包含了可靠性、可用性、健壮性(robustness) 、可测试性 (testability) 、可维护性(maintainability) 等内容，而且强调可存活性(survivability) 、保险性 (safe-ty) 、安全性 (security) ，它体现了对开放式网络环境下分布计算系统整体性能质量的评价。并侧重于数据完整性 (integrity) 和软件保护能力的度量。2. 可信计算　　 TCG 从行为角度来定义可信计算：一个实体是可信的，如果它的行为总是可预期的。可信计算的核心思想是：构造“信任链”和“信任度量”的概念，如果从初始的“信任根”出发，在平台环境的每一次转换时，这种信任可以通过“信任链”传递的方式保持下去不被破坏，那么平台计算环境就始终是可信的。

52


3. 可信计算平台 (TCP)　　所谓可信计算平台 (TCP) 是能够提供可信计算服务的计算机软硬件实体，它能够提供系统的可靠性、可用性和信息的安全性。可信计算平台以 TPM 为信任根，为计算机系统信任验证提供了一种可行机制。可信计算机系统由硬件平台、操作系统、应用程序、网络系统多个层次组成的。目前的 TCP只是以 TPM (Trusted Platform Module) 为核心提供了可信硬件平台。以可信 PC 平台为例，它以 TPM 为信任根，建立了 BIOS Boot Block-->BIOS-->OS Loader-->OS 的信任链，将信任传递给了操作系统。真正的可信网络环境的构建，必须能保证信任可传递到网络系统，一级认证一级，一级信任一级，从而把信任扩展到整个网络环境。也就是说，可信网络环境的构建必须需要安全操作系统、安全应用软件和安全网络系统等的一起配合才能真正实现。

53


4. 可信计算基 TCB 与 TMP　　安全操作系统是通过可信计算基 (TCB) 实现安全功能的。所谓可信计算基，是指系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。　　 TPM 可作为安全操作系统 TCB 的一个重要组成部分，其物理可信和一致性验证功能为安全操作系统提供了可信的安全基础。 TPM 是一个可信硬件模块，由执行引擎、存储器、 I/O 、密码引擎、随机数生成器等部件组成，主要完成加密、签名、认证、密钥产生等安全功能，一般是一个片上系统 (System on Chip) ，是物理可信的。 TPM 提供可信的度量、度量的存储和度量的报告。5.TCG规范　　 TCG 通过定义一系列的规范来描述建立可信机制需要使用的各种功能和接口，主要包括 TPM主规范、 TSS主规范、可信 PC详细设计规范、针对 CC 的保护轮廓等。由于 TCG 具有强烈的商业背景，其真正的用意在于数字版权保护。

54


三、可信计算的发展历程　　可信计算的形成有一个历史过程。在可信计算的形成过程中，容错计算、安全操作系统和网络安全等领域的研究使可信计算的含义不断拓展，由侧重于硬件的可靠性、可用性，到针对硬件平台、软件系统服务的综合可信，适应了 Internet 应用系统不断拓展的发展需要。

55


1. 容错计算阶段在计算机领域，对于“可信”的研究，可追溯到第一台计算机的研制。那时人们就认识到，不论怎样精心设计，选择多么好的元件，物理缺陷和设计错误总是不可避免的，所以需要各种容错技术来维持系统的正常运行。计算机研制和应用的初期，对计算机硬件比较关注。但是，对计算机高性能的需求使得时钟频率大大提高，因而降低了计算机的可靠性。随着元件可靠性的大幅度提高，可靠性问题有所改善。此后人们还关注设计错误、交互错误、恶意推理、暗藏入侵等人为故障造成的各种系统失效状况，研发了集成故障检测技术、冗余备份系统的高可用性容错计算机。　　在容错计算领域，可信性被定义为计算机系统的一种性质，它所提供的服务是用户可感知的一种行为，并可以论证其可信赖。因为“可靠性”而“可信”，因此容错计算又称为“可靠计算”。容错计算领域的可信性包括可用性、可靠性、可维护性、安全性、健壮性和可测试性等。

56


2. 安全操作系统阶段　　实际上，从计算机产生开始，人们就一直在研究和开发操作系统，并将“容错计算”取得的成果应用于操作系统。从 50年代中期出现的第一个简单的批处理系统，到 60年代中期出现的多道程序批处理系统，以及此后的基于多道程序的分时系统，甚至再后来的实时系统和分布式操作系统，仅仅靠“容错技术”并不能完全解决操作系统对共享资源的安全访问问题。　　在探索如何研制安全计算机系统的同时，人们也在研究如何建立评价标准，衡量计算机系统的安全性。 1983年，美国国防部颁布了历史上第一个计算机安全评价标准，这就是著名的可信计算机系统评价标准，简称 TCSEC1331 ，又称橙皮书。 1985年，美国国防部对 TCSEC 进行了修订

57


3. 网络安全阶段　　随着 Internet 的普及，人们对 Internet 的依赖也越来越强，互联网已经成为人们生活的一个部分。然而， Internet 是一个面向大众的开放系统，对于信息的保密和系统安全考虑不完善。从技术角度来说，保护网络的安全包括两个方面的技术内容：　　 (l)开发各种网络安全应用系统，包括身份认证、授权和访问控制、 PK评Ml 、 IPSec 、电子邮件安全、认证与电子商务安全、防火墙、 VPN 、安全扫描、入侵检测、安全审计、网络病毒防范、应急响应以及信息过滤技术等，这些系统一般可独立运用运行于网络平台之上 ;　　 (2) 将各种与网络安全相关的组件或系统组成网络可信基，内嵌在网络平台中，受网络平台保护，与 TCB受 05 保护类似。从这两方面的技术发展来看，前者得到了产业界的广泛支持，并成为主流的网络安全解决方案。后者得到学术界的广泛重视，学术界还对“可信系统 (Trusted system)” 和“可信组件 (Trusted Component)” 进行广泛的研究。

58


四、国外可信计算的研究进展　　国外的可信计算研究最近发展很快。国外的 TCG 组织比较松散，他们更多的代表的是各公司自身的利益，但是可信计算平台毕竟给他们带来了可观的经济利益，尽管 AMD 和 Inter 是相互竞争的公司，在可信计算这块他们却结合在一起，不能小看了这些跨国公司的力量。因此，我们应该看看他们现在在做些什么？　　 1.概述　　可信计算组织 TCG 远景看，它的目标是： TPM规范继续完善，包括 PC 、服务器、手持设备等硬件平台的规范；存储设备、输入设备、认证设备等外设的规范；操作系统、 WEB 服务、应用程序等软件层次的相关规范；信任状等基础设施的规范。　　目前的状况是规范沿两个方向进行：以建立基于硬件的可信平台的角度，从底层硬件规范开始，由底向上逐渐推进，由终端开始扩散；以建立可信计算环境的角度，基于但不限于可信平台硬件，从上层定义可信计算自身及与其他安全技术交互时的基础设施规范。

59


2. 可信平台主规范发展趋势　　 (1)主规范的组成及总体规范制订情况　　可信平台主规范由 TPM规范、 TSS规范、 PC 客户平台规范组成，这三个规范定义了整个可信平台技术的主体轮廓。　　 (2) 可信平台技术的发展趋势　　 TPM规范的主体思想没有改变，在原来的基础上，加强了对私密性的保护，加强对多用户环境的支持，在提供受控保护的前提下将原来的特定功能向通用功能方面进行了改进。

60


3. 硬件平台相关规范的发展趋势　　 (1)相关规范的范围及总体发展趋势　　除了 PC 机工作组以外， TCG新建立了服务器工作组，这值得我们关注，因为我们也有一些服务器厂商，如联想、浪潮等都做得非常好。此外，不同类型的外设划分得也很细，成立了硬拷贝工作组、存储设备工作组。　　 (2)PC 平台相关规范的发展　　 PC 工作组基本上是一个范例，服务器工作组基本上是参照PC 工作组来做的， PC 平台的规范相对完整，是其他平台规范的范例，因为它做得最早、最全，投的精力也最多。　　 (3)Server 平台相关规范的发展　　现已公布的规范一个是 TCG 服务器通用平台的规范，包括一些相关的术语，它有一些专用的名词，服务器平台下对 TPM的一些特殊要求，对主规范的一些要求提供的功能进行分析。

61


(4)移动平台相关规范的发展　　移动电话是无线安全非常关注的一个方面，也是非常难解决的一个方面，比如在密码方面有一些特殊的要求，实施性要求高，另外载体没有提供很多资源，时间、空间要求很高，一般的密码是不适合的。此外，还要考虑基站的安全、客户的安全、服务设备的安全、移动设备的安全。移动设备最关键的是它容易丢，丢失以后安全怎么弥补。 TCG 的目标是要把移动电话的整个安全、无线的安全提高几个数量级，所以近年来，移动电话工作组的规范制订工作较为活跃， 2006年初推出使用案例，年底推出了MTM　 (Mobile　 Trusted　Module)规范，它的工作目标是显著提升整体的移动电话安全保护强度，提供硬软件解决方案间的可互操作性，为终端用户提供可信的移动计算生态环境。

62


　　 (5) 基于标准接口的可信平台规范　　包括 TCG EFI Protocol Specification( 协议规范 ) 、TCG EFI Platform Specification( 平台规范 ) 、 TCG ACPI General Specification( 一般规范 ) 。随着硬件技术的发展， PC 平台与 Server 平台之间的差别越来越小，而Server 平台自身差别很大。基于标准硬件接口定义可信平台标准应该更有代表性。　　 (6)外设可信计算规范的发展　　现在，外部设备越来越活跃，信息安全绝对离不开外部设备，如Ｕ盘、光盘等是我们重要的信息载体，过去我们讲的双向认证指的是人和人之间的认证，现在扩展到人和主机，和终端的认证，未来会扩展到与外部存储设备的认证。 2006年以来，存储设备工作组的工作日益活跃，这也许是可信平台相关外设规范制订的开端。

63


4. 重心转移—建立可信的生态环境　　目前 TCG 的工作重心向建立可信的生态环境转移，现在重点开始转移到基础设施工作组 (IWG) 。 IWG 下面的子工作组叫TNC(Trusted Network Connect) 可信网络互联。　　基础设施工作组文档路线有以下几个特点：　　第一，互操作参考体系结构规范，他们关心的是 TCG 的可信计算规范如何与其他安全基础设施进行互操作，下属的规范包括 TNC 系列规范、证书轮廓规范、备份与迁移规范、主体密钥证实证据扩展规范等。　　　　第二，完整性管理体系结构规范，要有可信计算的完整性度量、存储、报告的框架及其基础设施。

64


　　 (1)TNC 体系结构中的三个实体　　 TNC 体系结构中的三个实体分别是： AR( 访问请求者 ) ，即需要访问被保护网络的实体； PDP(策略决策点 ) ，即根据访问策略决定 AR 的请求是否被允许的实体； PEP(策略实施点 ) ，即实施是否允许 AR 访问决定的实体。 2.TNC 的体系结构框架如图 4所示。　　 (2)微软的 NAP 与 TCG 的 TNC 的结合。　　基于 IF-TNCCS-SOH 协议实现结合 (健康状态 ) ，提高了互操作性，简化了网络访问控制框架和协议，以及网络访问控制客户端。

65


五、我国的可信计算1. 可信计算产生的背景与特点　　目前，由防火墙、入侵检测、防病毒系统等构成的传统信息安全系统以防外部入侵为重点，这与当今信息安全的主要威胁源自内部的实际情况不相符合。“老三样、堵漏洞、做高墙、防外攻，防不胜防”就是信息安全的基本现状。这样做的结果只能是网络上的“墙”越垒越高，而各种攻击却依然十分猖獗，效果不尽人意。

66


2. 可信计算的国内研究与应用情况　　 2000年起，国家密码管理委员会办公室开始对可信计算技术的研究进行立项，武汉瑞达科技有限公司较早申请了立项研究。该公司依托武汉大学的技术力量，独立进行了“安全计算机”的体系机构和关键技术的研究与实践。　　 2004年 6月，瑞达公司推出了国内首款自主研发的具有TPM 功能的可信安全计算机。当月，中国首届 TCP 技术论坛在武汉召开。

67


　　总体而言，我国企业对可信计算技术的关注和投入研发是比较及时的。除武汉瑞达公司外，联想在 2004年 3月对外宣布，已开始计算机安全芯片的研发，并在下半年开始进行安全芯片的测试生产。2005年 4月，联想和兆日科技基于可信计算技术的 PC 安全芯片(TPM) 安全产品正式推出。

　　此后不久，采用联想“恒智”安全芯片的联想开天M400S 以及采用兆日 TPM 安全芯片 (SSX35) 的清华同方超翔 S4800 、长城世恒 A 和世恒 S 系列安全 PC 产品纷纷面世。

　　 2005年 12月 10日，在北京召开的第七届信息与通信安全国际会议上，国内有关安全产品在会上进行了展示。为了交流国内可信计算研究领域的研究成果和经验，促进可信计算技术的发展，展示在可信计算领域的最新科研成果、应用技术及产品，我国将于 2006年 8月举办第二届全国可信计算学术会议。

68


　　经过近几年的不懈努力，“安全 PC” 产业链在我国已初步形成。目前，不少厂商除研究可信终端外，还在研究可信网络设备、可信服务器等，旨在所有的网络节点中建立可信机制，最终形成一个全国性的可信网络。　　我国已跻身于世界上少数研制出可信 PC 的国家之列，但由于我国信息安全技术整体水平的限制，加之企业规模小、缺乏足够的经济实力，可信计算技术目前尚未实现规模性和产业化，市场也未成熟。　　从国家层面看， 2005年出台的国家“十一五”规划和“ 863” 计划都将“可信计算”列入重点支持项目，并有较大规模的投入与扶植， 2005年初，我国可信计算标准工作组正式成立，有关可信计算标准目前正在抓紧进行。可信计算呈现出信息安全主管部门重视，重要用户和企业关注的特点，相关工作正在有条不紊地积极开展起来。

69


3.需求和目标　　首先是国家安全的需要。前几年可信计算是舆论热点，而现在开始真正地在做实事了，因为我国有需求，主要是安全问题。　　其次是经济发展的需要。从经济上来说，这是我国计算机安全产业发展的一个机遇，如果不抓住机会，我们肯定会更加被动，肯定会付出更巨大的版权费、加密费。

70


4.我国目前在可信计算研发方面存在的问题　　我国对可信技术的研发从一开始就和发达国家站在同一起跑线上，在某些方面甚至处于领先地位。但是，国际 TCG 成员组中的主要企业均为资金实力雄厚的跨国公司。从微软、 Intel 、 IBM到 HP ，可信操作系统、芯片和主机均由不同的厂商参与，在产业链的迅速构建上， TCG 有其独到的优势。这些企业有足够的资金来完成实验工作，理论研究远高于国内，规范和标准做得早。他们采用的是一种分工合作的方式，整体产业力量强，一旦形成标准规范，整个产业发展会比我们快得多。　　我国的 IT企业规模偏小，实力不足。有一定创新意识的企业，在资金支撑上又显得力量单薄。

71


5.我国可信计算的应用前景　　我国党、政、军很多机关单位对可信计算平台反应积极。国家有关部委如公安部“金盾工程”已将可信计算平台纳入其使用范围，民政部拟在“全国城市低保信息系统”中将可信平台产品作为城市低保信息系统的终端，以强化身份认证和责任审计功能。

　　从行业系统来看，一些电信系统拟用可信计算技术来保障其关键信息和客户资料的安全。

　　有专家预测，经过 5年的演变，全球可信计算即将全面进入商用阶段，可信计算将从基础层面上解决信息安全问题，我国决不能错过机遇。

72


6.我国可信计算的发展重点　　 2005年 1月，全国信息安全标准化技术委员会在北京成立了WG1 TC260 可信计算工作小组。 WG3也开展了可信计算密码标准的研究工作。国家“十一 ·五”期间已经将可信计算列入国家发改委信息安全专项里面，“ 863 计划”也正在启动可信计算专项。在基础研究层面已经把可信计算列为重大专项，先启动可信软件，这个额度也很大，有 1.5亿元。　　第一，基于可信计算的可信终端是发展产业的基础　　第二，高性能的可信计算芯片是提高竞争力的核心　　第三，可信计算理论和体系结构是持续发展的源泉　　第四，可信计算应用关键技术是产业化的突破口　　第五，可信计算相关标准规范是自主创新的保护神

73


7.我国可信计算的研究(１ ) 可信计算体系结构

(２ ) 可信操作系统

(３ ) 密码技术

74


张焕国男， 1945 年 6月出生。武汉大学计算机学院教授，博士生导师。主要从事信息安全方面的教学科研工作。学术兼职：中国密码学会理事，中国计算机学会容错专业委员会副主任，国家信息安全成果产业化基地（中部）专家委员会副主任，湖北省电子学会副理事长，湖北省暨武汉市计算机学会理事。科研方向：信息安全，容错计算，可信计算，计算机应用主要著作： 1.《计算机安全保密技术》，机械工业出版社， 1995 。 2.《计算机中的纠错编码技术》，人们邮电出版社， 1999 科研成果：在《计算机学报》、《中国科学》、《通信学报》上发表论文多篇。

75


闵应骅：美国电机电子工程师协会院士(IEEE Fellow) ，中国科学院计算技术研究所研究员、博士生导师、湖南大学教授、博士生导师、龙星计划委员会中方主任、中国计算机学会容错专委名誉主任、国家自然科学基金委员会SOC 重大专项专家组成员，《计算机科学技术学报》（英）副主编、《计算机学报》编委。 1962年吉林大学数学系毕业，曾获国家科技进步二等奖，中国科学院自然科学三等奖、二等奖两项， IEEE 计算机学会奖，美国电机电子工程师协会计算机学会金核心成员。他已在国际国内发表学术论文 250篇，专著 4 本，共被 SCI 引用 136次，其中他人引用 112次。多次担任 IEEE国际会议主席或程序主席。曾在十一个国家和地区的 36 所大学讲学五十多次。美国电机电子工程师协会在遴选他为院士的报告中确认了他在微电子测试和容错计算领域国际学术带头人的地位和贡献。主要研究领域包括微电子测试、可信网络与系统等。

76


沈昌祥中国工程院院士沈昌祥院士从事计算机信息系统、密码工程、信息安全体系结构、系统软件安全（安全操作系统、安全数据库等）、网络安全等方面的研究工作。先后完成了重大科研项目二十多项，取得了一系列重要成果，曾获国家科技进步一等奖 2项、二等奖 3项、三等奖 3项，军队科技进步奖十多项。这些成果在信息处理和安全技术上有重大创造性，多项达到世界先进水平，在全国全军广泛应用，取得十分显著效益，使我国信息安全保密方面取得突破性进展。 1995年 5月当选为中国工程院院士。目前担任国家信息化专家咨询委员会委员 , 中国工程院信息学部常委，国家密码管理委员会办公室顾问 , 国家保密局专家顾问 ,公安部“金盾工程”特邀顾问 , 中国人民银行信息安全顾问 , 国家税务总局信息技术咨询委员会委员 , 中国计算机学会信息保密专业委员会主任。

第3章 网络防御技术

Documents

第3章网络防御技术